开发能力

攻击者可能会构建可用于目标定位的能力。与其购买、免费下载或窃取能力，攻击者可能会在内部开发自己的能力。这是识别开发需求并构建解决方案（如恶意软件、漏洞利用和自签名证书）的过程。攻击者可能会开发能力以支持其在攻击生命周期的多个阶段中的操作。（引用：Mandiant APT1）（引用：Kaspersky Sofacy）（引用：Bitdefender StrongPity June 2020）（引用：Talos Promethium June 2020） 与合法的开发工作一样，开发能力可能需要不同的技能。所需的技能可能在内部，也可能需要外包。使用承包商可能被视为该攻击者开发能力的延伸，前提是攻击者在塑造需求方面发挥作用并保持对该能力的某种程度的独占性。